PLANEACIÓN DE AUDITORÍA DE TI

2.1 Una vez que se realizaron las actividades de “Revisión y evaluación de los controles
internos informáticos”, el siguiente paso es: Determinar los puntos a ser evaluados
en la auditoría (Check List)

2.1.1) Identificar las áreas a auditar

2.1.2) Determinar toda la documentación que debe utilizar y que debe mantener actualizada
cada área a auditar (clasificar documentos y evidencias probatorias, por área específica):

- Inventario de Hardware

- Inventario de Software

- Bitácora de uso de áreas de cómputo

- Formatos de solicitud de equipos

- Formatos de reportes de incidentes diversos

- Plan de mantenimiento a equipos de cómputo y dispositivos de telecomunicaciones

- Bitácora de mantenimiento a equipos de cómputo y dispositivos de telecomunicaciones

- Bitácora de respaldos de información

- Aspectos de seguridad física y lógica

- Manuales e instructivos

- Entre otros

2.1.3) Identificar elementos para evaluar las funciones y actividades del personal de cada área a
auditar. Valorar el cumplimiento de las actividades y requisitos que le corresponde a cada
puesto, así como los aspectos relacionados con capacitación del personal.

2.1.4) Identificar elementos para evaluar las aplicaciones (sistemas y base de datos), equipos y
componentes de cada área a auditar. Determinar si realmente los sistemas (integridad de la
información), equipos (hardware y software, como sistemas operativos) y dispositivos, están
funcionando adecuadamente, así como los aspectos relacionados con el mantenimiento
(soporte técnico) y licenciamiento de software.

2.1.5) Identificar elementos para evaluar las redes de cómputo: funcionamiento, uso de
protocolos y estándares, configuración adecuada de dispositivos, etc.
2.1.6) Identificar elementos para evaluar las instalaciones, seguridad (lógica y física) y planes de
contingencia.

2.1.7) Determinar los recursos que serán utilizados en la auditoría.

- Personal a entrevistar en cada área

- Apoyo con equipo de cómputo y software, internet, etc.

- Apoyo con manuales y documentación de las diferentes áreas: políticas, reglamentos,

procedimientos, etc.

2.2 Determinar las actividades a realizar durante la auditoría.

Se deben listar las actividades que deben realizarse durante la ejecución de la auditoría. Ejemplos:

- Visitar el laboratorio de cómputo y realizar entrevistas al personal que labora en el mismo.

- Evaluar las bitácoras de uso del equipo, planes de mantenimiento y contingencia.
- Evaluar el hardware.
- Evaluar el software.
- Revisar la infraestructura.

2.3 Seleccionar los métodos, técnicas y herramientas

2.3.1) Elaborar un cuadro que incluya las actividades definidas en el punto anterior, y establecer
para cada actividad, los métodos, técnicas y herramientas que serán utilizadas. Ejemplo:

Método o Técnicas y
No. Actividad Observaciones
Procedimiento herramientas
Realizar entrevista al
Instrumento de
encargado del Entrevista al
entrevista elaborado
laboratorio de encargado
previamente
cómputo.
Revisión de
Evaluar las bitácoras Revisión
bitácoras de al
de uso del equipo. documental
menos un año
Evaluar el área de
1 Revisar el
cómputo
reglamento del
laboratorio de
Revisión Verificar el
cómputo y evaluar
documental, cumplimiento con
cumplimiento por
observación usuarios actuales.
parte de los
usuarios.
 Lista de chequeo
para comparar las
Solicitar las licencias Revisión
licencias en
de software documental
inventario y las
2 Evaluar el software
existentes
Verificar la vigencia
Observación, y si es
de las licencias de Cámara digital
posible, fotografías
software

2.3.2) Elaborar los instrumentos necesarios para llevar a cabo la auditoría

Por ejemplo, diseñar el cuestionario para entrevista al encargado del laboratorio de cómputo:

LOGOTIPO DE LA INSTITUCIÓN:

NOMBRE DE LA INSTITUCIÓN: UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO

ÁREA A AUDITAR:

OBJETIVO: Obtener información del Encargado del Laboratorio de Cómputo sobre el desempeño
de las actividades y funciones que realiza.

1- ¿Existe un plan de contingencia dentro del Laboratorio de Cómputo? SI, NO; ¿POR QUÉ?

2- ¿Cada cuánto tiempo actualizan este plan?

3- ¿Realiza planificación de las actividades que se realizan en el Laboratorio de Cómputo? SI, NO;
¿POR QUÉ?

4- ¿Cada cuánto tiempo realiza esta planificación? EXPLIQUE.

5- ¿Se le asignan funciones distintas a las descritas en su contrato?

6- Detalle que funciones diferentes se le asignan:

7- Enumere los diferentes formularios y bitácoras que maneja en el Laboratorio de Cómputo:

8- ¿Imparte capacitaciones sobre el uso de los recursos tecnológicos entre la comunidad

educativa? SI, NO; ¿POR QUÉ?

9- ¿A quiénes se las imparte? EXPLIQUE.

ETC…
2.4 Definir el plan de trabajo de auditoría (asignar recursos)
2.4.1) Diseño de las listas de verificación

No. ELEMENTO A VERIFICAR SI NO OBSERVACIONES

1 Existencia del manual de puestos
2 Existencia, difusión y control de las normas
3 Existencia de planes de contingencia
4 Existencia del plan de recuperación
Existencia de Programación de mantenimiento de las
5
computadoras
Existencia de propuesta de necesidades del Laboratorio de
6
Cómputo
Informe trimestral del estado del equipo del Laboratorio de
7
Cómputo
2.4.2) Elaborar el plan de auditoría con recursos asignados (tipo cronograma)

El programa debe incluir:

 - No de actividad
- Nombre de la actividad
- Responsable de la actividad
- Días o semanas a ejecutar
- Recursos materiales
- Recursos humanos
- Recursos económicos (opcional)

Esta es una base (se debe ajustar a lo que se solicita arriba):